Web Companion und PUA:Win32/Presenoker wie loswerden

M-K-D-B · 22.11.2020, 20:45

Zitat:

Bevor ich jetzt noch weiter rumstocher, die für mich wichtigste Frage ist es nur ein Browser hijacking oder habe ich ein größeres Problem. Mir macht da die Defender Meldung "PUA:Win32/Presenoker" sorgen.

Es handelt sich um PUP / Adware / Browser Hijacker.

"Rumstochern", wenn man wenig Ahnung hat, ist Zeitverschwendung. Es ist gut, dass du gekommen bist... wir kümmern uns darum.

WARNUNG VOR AUDACITY.DE !!!
Du hast dich bei der Installation der Software audacity mit Malware infiziert.
Bitte anschauen:
Warnung vor audacity.de - eine gemeine Falle !!!

Weißt du, was ich nicht verstehe?
Du hast UBlock origin für FF installiert:

Zitat:

FF Extension: (uBlock Origin) - C:\Users\Hosand\AppData\Roaming\Mozilla\Firefox\Profiles\efjkb4xu.default-release\Extensions\uBlock0@raymondhill.net.xpi [2020-11-19]

UBlock Origin blockiert audacity.de. Wie konntest du dir also von dort etwas herunterladen?
Zudem verwendest du Windows Defender. Dieser blockiert die infizierte audacity.exe von audacity.de. Wie konntest du das also überhaupt installieren?

Schritt 1

Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

ATTFilter

Start::
CloseProcesses:
HKU\S-1-5-21-708719464-1710820667-417631571-1001\...\Run: [AdobeBridge] => [X]
S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
C:\ProgramData\ntuser.pol
C:\WINDOWS\system32\GroupPolicy\Machine
C:\WINDOWS\system32\GroupPolicy\GPT.ini
C:\WINDOWS\SysWOW64\GroupPolicy\Machine
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini
DeleteKey: HKLM\SOFTWARE\Policies\Google
DeleteKey: HKLM\SOFTWARE\Policies\Mozilla
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Edge
DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender
Task: {2EC5580A-258C-4272-B400-648D89891667} - System32\Tasks\Hyper-V-Remotedesktopvirtualisierungsdienst Serial Verwaltung => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> "C:\ProgramData\Package Cache\{74AD1CD4-1905-4BF1-B277-25822E4B3B80}\{D596BAF9-6883-447C-830D-1EC24B3B71EA}" <==== ACHTUNG
Task: {A85A96E2-990E-4011-8491-50552A55F02C} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [670928 2020-11-18] (Mozilla Corporation -> Mozilla Foundation)
Task: {EC2FAC7C-32F2-474A-9D3F-B0EAC8494E91} - System32\Tasks\AsynchronerRAS-Medientreiberfür => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) -> C:\WINDOWS\Installer\{758A5760-0C8B-49D0-BB1A-783715DA63FF}\{AAB65934-DB24-4CB7-AD3D-FD31A80B60DF} <==== ACHTUNG
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
C:\Program Files (x86)\nodejs
DeleteKey: HKLM\SOFTWARE\Node.js
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Node.js
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Classes\Installer\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\27AC50E0DD8DF2342ACC8800434A5877
DeleteKey: HKU\.DEFAULT\Software\Node.js
DeleteKey: HKCU\SOFTWARE\Node.js
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}
C:\Users\AllUserName\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\aihlalnfaiggogmdpdlobjckdhehcmjg
C:\Users\AllUserName\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nkoclgphokombmipgmapdcdlcclkdgom
FF user.js: detected! => C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\up1pwfcx.default\user.js [2020-11-19]
FF NewTab: Mozilla\Firefox\Profiles\up1pwfcx.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-05-26 11:20:14&bName=&bitmask=0600
FF user.js: detected! => C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\efjkb4xu.default-release\user.js [2020-11-19]
FF NewTab: Mozilla\Firefox\Profiles\efjkb4xu.default-release -> hxxps://defaultsearch.co/homepage?hp=1&pId=AC191101&iDate=2020-05-26 11:20:14&bName=&bitmask=0600
FF HKLM\...\Firefox\Extensions: [{CCC9424E-35A1-4413-83D8-3045D9DB2F8E}] - C:\WINDOWS\Installer\{3A9C31F6-E7C4-43AF-A080-A46524ED6481}\{CCC9424E-35A1-4413-83D8-3045D9DB2F8E}.xpi
FF HKLM-x32\...\Firefox\Extensions: [{CCC9424E-35A1-4413-83D8-3045D9DB2F8E}] - C:\WINDOWS\Installer\{3A9C31F6-E7C4-43AF-A080-A46524ED6481}\{CCC9424E-35A1-4413-83D8-3045D9DB2F8E}.xpi
StartBatch:
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}.xpi" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\c????????????????????????????????rx" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\x????????????????????????????????ml" RD /S /Q "%%a" )
FOR /D %%a IN ("%WINDIR%\Installer\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
FOR /D %%a IN ("%ProgramData%\Package Cache\{????????-????-????-????-????????????}") DO ( IF EXIST "%%a\{????????-????-????-????-????????????}" RD /S /Q "%%a" )
EndBatch: 
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
powershell: Set-MpPreference -PUAProtection Enabled
Hosts:
RemoveProxy:
SystemRestore: On 
EmptyTemp:
End::

Starte nun FRST und klicke direkt den Reparieren Button.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
Code:
ATTFilter
```
SearchAll: aihlalnfaiggogmdpdlobjckdhehcmjg;nkoclgphokombmipgmapdcdlcclkdgom;lavasoft
         
```
Klicke auf den Button Datei-Suche.
FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
Am Ende wird eine Textdatei Search.txt erstellt.
Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

die Beantwortung der gestellten Fragen
die Logdatei des FRST-Fix (fixlog.txt)
die Logdatei des FRST-Suchlaufs (Search.txt)
die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Web Companion und PUA:Win32/Presenoker wie loswerden

Log-Analyse und Auswertung: Web Companion und PUA:Win32/Presenoker wie loswerden

Web Companion und PUA:Win32/Presenoker wie loswerden

Ähnliche Themen: Web Companion und PUA:Win32/Presenoker wie loswerden